Google旗下的網路抓蟲小組Project Zero(Zero專案)上周再公布了一個涉及微軟IE及Edge等瀏覽器的安全漏洞,雖然微軟尚未修補該漏洞,但因時間點已到了Zero專案通知供應商後的90天期限,因此又被自動揭露。
此一編號為CVE-2017-0037的漏洞是在HandleColumnBreakOnColumnSpanningElement中所出現的類型混淆漏洞(Type confusion),Project Zero團隊所釋出的概念性驗證程式可導致瀏覽器當掉,但該漏洞也可能造成遠端程式攻擊或接管裝置。
Project Zero團隊表示,雖然他們是在64位元的IE上測試該漏洞的攻擊行動,但Edge與32位元的IE應該也會有同樣的結果。
Project Zero一周前也曾公布幾個微軟尚未修補的Windows漏洞,原因也是超過了90天的通知期限,外界揣測微軟很可能原本打算要在2月14日的例行性更新中修補這些漏洞,沒料到會延後修補,才造成這些漏洞在未修補前便曝光。